Vooraf gelezen Aanbevelingen

  • Artikel

Dit document is ontworpen om u te helpen bij het selecteren van een containeraanbod op Azure Confidential Computing dat het beste past bij uw workloadvereisten en beveiligingspostuur. Om optimaal gebruik te maken van de handleiding, raden we de volgende voorgelezen items aan.

Azure Compute Decision Matrix

Maak kennis met de algemene Azure Compute-aanbiedingen om inzicht te krijgen in de bredere context waarin Azure Confidential Computing werkt.

Inleiding tot Azure Confidential Computing

Azure Confidential Computing biedt oplossingen om isolatie van uw gevoelige gegevens mogelijk te maken terwijl deze worden verwerkt in de cloud. U kunt meer lezen over Confidential Computing met Azure Confidential Computing.

Attest

Attestation is een proces dat garanties biedt met betrekking tot de integriteit en identiteit van de hardware- en softwareomgevingen waarin toepassingen worden uitgevoerd. In Confidential Computing kunt u met attestation controleren of uw toepassingen worden uitgevoerd op vertrouwde hardware en in een vertrouwde uitvoeringsomgeving.

Meer informatie over attestation en De Microsoft Azure Attestation-service vindt u in Attestation in Azure

Definitie van geheugenisolatie

In confidential computing is geheugenisolatie een essentiële functie waarmee gegevens tijdens de verwerking worden beschermd. Het Confidential Computing Consortium definieert geheugenisolatie als:

"Geheugenisolatie is de mogelijkheid om onbevoegde toegang tot gegevens in het geheugen te voorkomen, zelfs als de aanvaller het besturingssysteem of andere bevoegde software heeft aangetast. Dit wordt bereikt door op hardware gebaseerde functies te gebruiken om een veilige en geïsoleerde omgeving te maken voor vertrouwelijke werkbelasting."

Een containeraanbod kiezen in Azure Confidential Computing

Azure Confidential Computing biedt verschillende oplossingen voor containerimplementatie en -beheer, die elk zijn afgestemd op verschillende isolatie- en attestation-mogelijkheden.

Uw huidige installatie- en operationele behoeften bepalen het meest relevante pad door dit document. Als u azure Kubernetes Service (AKS) al gebruikt of afhankelijk bent van Kubernetes-API's, raden we u aan de AKS-paden te volgen. Als u echter overstapt van een installatie van een virtuele machine en geïnteresseerd bent in het verkennen van serverloze containers, moet het ACI-pad (Azure Container Instances) interessant zijn.

Azure Kubernetes Service (AKS)

Vertrouwelijke VM-werkknooppunten

  • Gastverklaring: mogelijkheid om te controleren of u werkt op een vertrouwelijke virtuele machine die wordt geleverd door Azure.
  • Geheugenisolatie: isolatie op VM-niveau met unieke geheugenversleutelingssleutel per VM.
  • Programmeermodel: Nul tot minimale wijzigingen voor toepassingen in containers. Ondersteuning is beperkt tot containers die zijn gebaseerd op Linux (containers die gebruikmaken van een Linux-basisinstallatiekopieën voor de container).

U vindt meer informatie over Aan de slag met CVM-werkknooppunten met een lift-and-shift-workload naar cvm-knooppuntgroep..

Vertrouwelijke containers in AKS

  • Volledige gastverklaring: hiermee schakelt u attestation in van de volledige vertrouwelijke computingomgeving, inclusief de workload.
  • Geheugenisolatie: isolatie op knooppuntniveau met een unieke geheugenversleutelingssleutel per VM.
  • Programmeermodel: Nul tot minimale wijzigingen voor toepassingen in containers (containers met behulp van een Linux-basisinstallatiekopieën voor de container).
  • Ideale workloads: toepassingen met gevoelige gegevensverwerking, berekeningen van meerdere partijen en nalevingsvereisten voor regelgeving.

Meer informatie vindt u op Confidential Containers met Azure Kubernetes Service.

Confidential Computing-knooppunten met Intel SGX

  • Attestation van toepassings-enclave: hiermee schakelt u attestation in van de container die wordt uitgevoerd, in scenario's waarin de VIRTUELE machine niet wordt vertrouwd, maar alleen de toepassing wordt vertrouwd, waardoor een verhoogd beveiligings- en vertrouwensniveau wordt gegarandeerd in de uitvoeringsomgeving van de toepassing.
  • Isolatie: Isolatie op procesniveau.
  • Programmeermodel: vereist het gebruik van opensource-bibliotheekbesturingssysteem- of leverancieroplossingen voor het uitvoeren van bestaande toepassingen in containers. Ondersteuning is beperkt tot containers die zijn gebaseerd op Linux (containers die gebruikmaken van een Linux-basisinstallatiekopieën voor de container).
  • Ideale workloads: toepassingen met hoge beveiliging, zoals sleutelbeheersystemen.

Meer informatie over het aanbod en onze partneroplossingen vindt u hier.

Serverloos

Vertrouwelijke containers in Azure Container Instances (ACI)

  • Volledige gastverklaring: hiermee schakelt u attestation in van de volledige vertrouwelijke computingomgeving, inclusief de workload.
  • Isolatie: Isolatie op containergroepsniveau met een unieke geheugenversleutelingssleutel per containergroep.
  • Programmeermodel: Nul tot minimale wijzigingen voor toepassingen in containers. Ondersteuning is beperkt tot containers die zijn gebaseerd op Linux (containers die gebruikmaken van een Linux-basisinstallatiekopieën voor de container).
  • Ideale workloads: snelle ontwikkeling en implementatie van eenvoudige workloads in containers zonder indeling. Ondersteuning voor bursting vanuit AKS met behulp van virtuele knooppunten.

Meer informatie vindt u in Aan de slag met Vertrouwelijke containers op ACI.

Meer informatie

Intel SGX Confidential Virtual Machines in AzureConfidential Containers in Azure